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@ Verfahren zur Verhinderung unzulassiger Abweichungen vom Ablaufprotokoll einer Anwendung bei 
einem Datenaustauschsystem. 



@ Ein Datenaustauschsystem umfaSt beispielswei- 
se ein Terminal T und eine Cliipkarte K. Fur ver- 
schiedene Anwendungen (z.B. Geldautomat, Rech- 
nerzugang) warden In der Chipl<arte K gespeicherte 
Basisfunktionen B in einer jeweils in einem Protokoll 
festgelegten Reilienfolge abgearbeitet. Da die Basis- 
funktionen B vom Termial T aus aufgerufen werden, 
konnte durch gezielte Anderungen des Protokollab- 
laufes am Terminal T die Datensicherheit beein- 
trachtigt werden. Durch Speichern der zulassigen 



Protokolle in einer Steuerliste STL und Einrichten 
eines Zustandsspeicherbereiches ZS auf der Chip- 
karte K wird es moglich, den Protokollablauf auf der 
Chipkarte K unabhangig vom Terminal T zu kontrol- 
lieren. Der jeweilige Zustand Z einer Anwendung 
wird im Zustandsspeicherbereich ZS fixiert. In der 
Steuerliste STL sind samtliche bei einem Zustand Z 
zulassigen Basisfunktionsbezeichnungen On abge- 
legt. 
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Tragbare Datentrager sind magnetische, opti- 
sche Oder sonstige physikalische Speichereigen- 
schaften nutzende Objekte. Wenn diesen Datentra- 
gern Intelligenz in Form eines Mikroprozessors zu- 
geordnet ist, sind diese Datentrager besonders 
vieiseitig verwendbar und erfullen hochste Anforde- 
rungen an die Datensicherheit. Am meisten verbrei- 
tet sind diese intelligenten Datentrager in Form von 
Chipkarten. 

Die Chipkarte ist vieiseitig anwendbar, bei- 
spielsweise als bargeldloses Zahlungsmittel, als 
Personal- Oder Versiclierungsausvyeis, als Schlus- 
sel zum Zugang zu Rechnern und fGr alle sonsti- 
gen Anwendungen, bei denen die eindeutige Identi- 
fizierung eines Anwenders notwendig ist Oder die 
Bereclitigung eines Anwenders eine bestimmte An- 
wendung auszufuhren, nachgewiesen werden mu/3. 
Ist eine einzige Chipkarte fur mehrere solche An- 
wendungen verwendbar, so spriclit man von einer 
multifunktionalen Chipkarte. Auf Qrund ihres physi- 
kalischen Aufbaus - neben dem Prozessor sind auf 
dem Chip ein maskenprogrammierbarer ROM- 
Speicherberelch, ein als Arbeitsspeicher dienender 
schneller RAM-Spelcherbereich und ein nicht fluch- 
tlger, programmierbarer Speicherbereich 
(EEPROM-Speicherbereich) untergebracht - kon- 
nen die Chipkarten vom Kartenherausgeber durch 
entsprechende Programmierung des EEPROM- 
Speicherbereichs fur viele Anwendungen program- 
miert werden. Bei jeder Anwendung mussen ge- 
mafi einem vorgegebenen Protokoll einige der im 
ROM-Speicherbereich abgelegten Basisfunktionen 
auf der Chipkarte abgearbeitet werden. 

FGr jede Anwendung ist im EEPROM-Speicher- 
bereich ein Anwendungsdatenfeld eingerichtet. Auf 
in einem solchen Feld eingetragene Daten kann 
eine Basisfunktion nur zugreifen, wenn diese An- 
wendung vorher aufgerufen wurde. Im Anwen- 
dungsdatenfeld konnen Daten mil unterschiedll- 
chen Zugriftsbedingungen abgelegt sein. Es kann 
beispielsweise festgelegt sein, daC Daten nur dann 
gelesen oder verandert werden konnen, wenn sich 
der Chipkartenbenutzer durch eine PIN-Nummer 
(personliche Identifikationsnummer) zu erkennen 
gibt. 

Die Informationen, welche Anwendung vorliegt, 
welche Basisfunktion abgearbeitet werden soli, und 
die zur Berechtigungsprufung erforderlichen Infor- 
mationen erhalt die Chipkarte durch Datenaus- 
tausch mit einem Terminal. Mit diesem Terminal ist 
die Chipkarte direkt durch elektrische Kontakte 
Oder indirekt Uber optische oder induktive Koppel- 
elnrichtungen verbunden. Vom Terminal aus kon- 
nen also Basisfunktionen zur Abarbeitung auf der 
Chipkarte aufgerufen werden. Die Reihenfolge, in 
der diese Basisfunktionen aufgerufen werden, wird 
demnach vom Terminal bestimmt. Da es aus si- 
cherheitstechnischen Qrunden erforderlich ist, die 



Basisfunktionen in einer bestimmten Reihenfolge 
abzuarbeiten, besteht durch eine mogllche Manipu- 
lation am Terminal, durch die die Ablaufreihenfolge 
verandert werden konnte, oder durch die bestimm- 
5 te Basisfunktionen ausgelassen werden konnten, 
ein Sicherheitsrisiko. 

Der Erfindung liegt die Aufgabe zugrunde, bei 
einem Datenaustauschsystem der eingangs ge- 
nannten Art das sicherheitstechnische Risiko der 
70 unzulassigen, durch Manipulation am Terminal her- 
beigefuhrten Veranderung eines Ablaufprotokolls 
einer Anwendung auszuschalten. 

Diese Aufgabe wird erfindungsgemaB durch 
die im Patentanspruch 1 angegebenen Merkmale 
75 gelost. 

Durch die Speicherung der zulassigen Proto- 
kollablaufe auf dem Datentrager selbst und der 
erfindungsgemafien Nutzung dieser Speicherung 
im Zusammenwirken mit dem Zustandsspeicherbe- 
20 reich, wird die Sicherheit des Datenaustauschsy- 
stems zusatzlich erhoht. Der Datentrager selbst 
kann Manipulationen am Terminal erkennen und 
geeignete GegenmaBnahmen einleiten. Zudem 
kann das erfindungsgemafie Verfahren fur beliebi- 
25 ge Anwendungen eingesetzt werden. 

Besondere Ausgestaltungen und Weiterbildun- 
gen des erfindungsgemaBen Verfahrens und einer 
Vorrichtung zur Durchftihrung des Verfahrens sind 
in den Unteranspruchen angegeben. 
30 Im folgenden wird ein Ausfuhrungsbeispiel der 

Erfindung anhand der Zeichnungen nSher eriautert. 
Dabei zeigen 

FIG 1 eine Datenaustauschvorrichtung zur 
Durchftihrung des erfindungsgemaBen Verfah- 
35 rens, 

FIG 2 ein Ablaufdiagramm einer Anwendung, 
FIG 3 eine Nachfolgertabelle zum Ablaufdia- 
gramm, 

FIG 4 Auszuge aus einer Steuerliste zum Ab- 
40 laufdiagramm und 

FIG 5 einen Zustandsspeicherbereich des Da- 
tentragers. 

FIG 1 zeigt ein Datenaustauschsystem, beste- 
hend aus einem vorzugsweise als Chipkarte K aus- 

45 gebildeten DatentrSger und einem Terminal T. Das 
Terminal T ist ein mit einer Schnittstelle zum Da- 
tenaustausch mit einer Chipkarte K ausgestattetes 
Datenein-Zausgabegrat einer Datenverarbeitungsan- 
lage, beispielsweise ein Geldautomat, ein Konto- 

50 auszugdrucker, eine Personenidentifizierungsein- 
richtung oder auch ein entsprechend ausgerusteter 
Telefonapparat. 

Anstelle einer Chipkarte K sind auch andere 
Datentrager denkbar, die von der geometrischen 

55 Form der Chipkarte K mehr oder weniger abwei- 
chen. Mafigeblich ist lediglich, dafl der Datentrager 
einen Prozessor P und einen Speicher S enthalt. 
Im Ausfuhrungsbeispiel sind die Chipkarte K und 
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das Terminal T uber elektrische Kontakte losbar 
miteinander verbunden. 

Der Speicher S der Chipkarte K ist in drei sicli 
in der Speichertechnik unterscheidende Bereiche 
eingeteilt: Ein elektriscti losch- und wlederbe- 
schrelbbarer Speicherteil EEPROM, ein sclineller, 
als Arbeitsspeicher benutzter schreib- und lesbarer 
Speiclier RAM und ein maskenprogrammierbarer 
Speiclnerbereich ROM. GemaC ihrer Spelciiereigen- 
scliaften werden die drei Speicherbereiclie unter- 
schledlicii genutzt. Im maskenprogrammierbaren 
Speicherbereich ROM sind vom Kartenhersteller 
die anwenderunabhangigen, unlversell anwendba- 
ren Daten und Programme gespelchert. Unter an- 
derem sInd In diesem maskenprogrammierbaren 
Speicherbereich ROM mehrere Basisfunktionen B 
mit den Basisfunktionsbezelchnungen 81 ...Bn, 
Krypto-Algorithmen KA beispielsweise zur Ver- 
schlusselung der Daten beim Datenaustausch und 
ein Betriebssystem BTS der Chipkarte K eingetra- 
gen. Im schreib- und lesbaren Speicherbereich 
RAM werden solche Daten abgelegt, die wahrend 
der Dauer einer Verbindung zwischen Terminal T 
und Chipkarte K benotigt werden. Unter anderem 
sind das die Ein-/Ausgangsdaten I/O und Daten, 
die in einem Zustandsspeicherbereich ZS abgelegt 
werden. Im elektrisch schreib- und loschbaren 
Speicherbereich EEPROM werden die vom Karten- 
herausgeber festgelegten Daten gespeichert. Dle- 
ser Speicherbereich EEPROM enthalt in einem so- 
genannten Gemeinschaftsdatenfeld CDF hinterlegte 
Daten, die unabhangig von einer speziellen Anwen- 
dung verwendet werden konnen und Daten, auf die 
nur bezugllch einer Anwendung zugegriffen werden 
kann. Diese anwendungsspezifischen Daten sind in 
sogenannten Anwendungsdatenfeldern ADF abge- 
legt. Das Gemeinschaftsdatenfeld CDF und die 
Andwendungsdatenfelder ADF enlhalten zusatzlich 
sogenannte Steuerlisten STL, in denen jeweils min- 
destens die Ablaufreihenfolge einer Anwendung 
festgelegt ist. Eine einem bestimmten Anwen- 
dungsdatenfeld ADF zugeordnete Steuerliste STL 
kann auch aufierhalb des Anwendungsdatenfeldes 
ADF im Gemeinschaftsdatenfeld CDF gespeichert 
werden. Dies ist immer dann sinnvoll, wenn fur 
verschiedene Anwendungen die gleiche Ablaufrei- 
henfolge vorgeschrieben ist. Da die Steuerliste STL 
dann fur zwei oder mehrere solcher Anwendungen 
nur einmal gespeichert werden mufi kann Speicher- 
platz gespart werden. 

In FIG 2 ist das Ablaufdiagramm einer Anwen- 
dung dargestellt. Ausgehend von einem Anfangszu- 
stand Z1 folgt durch Abarbeitung einer vierten Ba- 
sisfunktion B4 auf den Anfangszustand Z1 ein 
zweiter Zustand Z2. Von diesem zweiten Zustand 
Z2 ausgehend, ist alternativ die Abarbeitung zweier 
Basisfunktionen B2, B3 moglich. Mit erfolgreicher 
Abarbeitung der zweiten Basisfunktion B2 kommt 



die Anwendung in einen dritten Zustand Z3 und mit 
der erfolgreichen Abarbeitung der dritten Basis- 
funktion B3 gerat die Anwendung in einen vierten 
Zustand Z4. Vom vierten Zustand Z4 ausgehend 
5 ist nur die Abarbeitung der ersten Basisfunktion B1 
eriaubt, wodurch die Anwendung in einen ftinften 
Zustand Z5 gerat. Von diesem funften Zustand Z5 
ausgehend, ist entweder die Abarbeitung der zwei- 
ten Basisfunktion B2 oder der dritten Basisfunktion 

70 83 zugelassen, wahrend die Abarbeitung der drit- 
ten Basisfunktion 83 zum vierten Zustand Z4 der 
Anwendung zuruckfuhrt, ftihrt die Abarbeitung der 
zweiten Basisfunktion B2 zu einem Endzustand Z6 
der Anwendung. Wenn, vom zweiten Zustand Z2 

15 ausgehend, die zweite Basisfunktion 82 abgearbei- 
tet wird, gerat die Anwendung in den dritten Zu- 
stand Z3. Von diesem Zustand Z3 ausgehend ist 
lediglich die Abarbeitung der funften Basisfunktion 
85 zulassig, die zum Endzustand Z6 der Anwen- 

20 dung fuhrt. Zusatzlich ist bei jedem Zustand Z der 
Anwendung die Abarbeitung einer sechsten Basis- 
funktion 86 und einer schlieflenden Basisfunktion 
BC eriaubt. Stellvertretend fur samtliche sechsten 
Basisfunktionen B6 ist diese nur beim dritten Zu- 

25 stand Z3 der Anwendung in der FIG 2 eingezeich- 
net. Die Abarbeitung der sechsten Basisfunktion B6 
fuhrt immer wieder zu dem Zustand Z zuruck, von 
dem sie ausging. Die Abarbeitung der schlieCen- 
den Basisfunktion BC fuhrt stets zur Beendigung 

30 der Anwendung. 

In FIG 3 ist eine Nachfolgertabelle abgebildet. 
In der ersten Spalte sind samtliche innerhalb der 
Anwendung moglichen Zustande Z mit den Num- 
mern 1 bis 6 eingetragen. In der zweiten Spalte ist 

35 zu jedem Zustand die Anzahl BA der zulassigen 
Basisfunktionen B eingetragen. Gemafl dem Ab- 
laufdiagramm aus FIG 2 sind dies zwei Basisfunk- 
tionen 8 zum ersten Zustand Z1 , drei Basisfunktio- 
nen B zum zweiten Zustand Z2, zwei Baslsfunktio- 

40 nen B zum dritten Zustand Z3, zwei Basisfunktio- 
nen B zum vierten Zustand Z4, drei Basisfunktio- 
nen B zum funften Zustand Z5 und zwei Basisfunk- 
tionen B zum sechsten Zustand Z6. Da das Been- 
den einer Anwendung keinen Anwendungszustand 

45 zur Folge hat, ist die bei jedem Zustand Z mogli- 
che schlieflende Basisfunktion BC in der Nachfol- 
gertabelle der FIG 3 nicht berucksichtigt. Nach der 
zweiten Spalte sind in der Tabelle mehrere Spal- 
tenpaare angegeben. Die Zahl der Spaltenpaare 

so entspricht der maximalen Anzahl BA der zulassigen 
Basisfunktionen B, die auf einen Zustand Z folgen 
konnen. Jedes Spaltenpaar besteht aus einer Spal- 
te, in der die Nummer B1...B6 der jeweils zulassi- 
gen Basisfunktion 8 angegeben ist und aus einer 

55 zweiten Spalte, in die die Folgezustandsbezeich- 
nung ZF, des auf den jeweiligen Zustand Z nach 
Abarbeitung einer Basisfunktion B folgenden Zu- 
standes Z1...Z6 eingetragen ist. So sind beisplels- 
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weise im zweiten Zustand Z2 drei Basisfunktionen 
B zur Abarbeitung zugelassen, namlich die zweite 
Basisfunktion B2, die dritte Basisfunktion B3 und 
die sechste Basisfunktion B6. Auf die zweite Basis- 
funktion 82 folgt der dritte Zustand Z3, auf die 
dritte Basisfunktion B3 folgt der vierte Zustand Z4 
und auf die secliste Basisfunktion B6 folgt der 
zweite Zustand Z2. 

Die Nachfolgertabelle gema/3 FIG 3 konnte in 
dieser Form zwar abgespeicliert werden; diese 
Speicfierform fiatte aber einen hohen Aufwand bei 
der Auswertung dieser Tabelle zur Folge. Deshalb 
wird die Nachfolgetabelle in Form einer Steuerliste 
STL, wie sie in FIG 4 angegeben ist, gespeichert. 

FIG 4 zeigt ausscfinittsweise eine Steuerliste 
STL, die in zwei Speicherbereiche SI und S2 ein- 
getragen ist. Im Speicherbereich Si sind ein Steu- 
erlistenkopf SK und ein Steuerlistenrumpf SR un- 
tergebracht und im Speiclierbereich 52 ist eine 
Ausnalimenliste SA abgelegt. Der Steuerlistenkopf 
SK enthalt je einen Speicherplatz fur eine Steuerli- 
stenkopflange SKL und fur eine Ausnahmenlisten- 
blocknummer SAN. Desweiteren entfialt der Steu- 
erlistenkopf SK nacheinander den zulassigen Zu- 
standen Z in aufsteigender Reihenfolge zugeordne- 
te Speicherplatzpaare, in die jeweils die Anzahl 
SBA der beim betreffenden Zustand Z zulassigen 
Basisfunktionen B (mit Ausnahme der Basisfunktio- 
nen B, dessen Basisfunktionsbezeicfinungen Bn in 
einer Ausnahmenliste SA eingetragen sind) und ein 
Pointer SBP eingetragen sind. Dieser Pointer SBP 
zeigt auf einen Speicherplatz im Steuerlistenrumpf 
SR, an dem die zulassigen Basisfunktionen B und 
ihre Folgezustande ZF abgelegt sind. Der Steuerli- 
stenrumpf SR besteht aus Gruppen von Datentu- 
peln, wobei auf den Anfang jeder Gruppe der Poin- 
ter SBP aus dem Steuerlistenkopf SK zeigt. Ein 
solches Tupel setzt sich aus einem Speicfierplatz 
fur die Bezeichnung einer Basisfunktion B und ei- 
nem Speicherplatz fur eine Folgezustandsbezeich- 
nung ZF eines zwingend auf die im Tupel bezeich- 
nete Basisfunktion B folgenden Zustandes Z zu- 
sammen. Wie die FIG 4 zeigt, sind im Steuerlisten- 
kopf SK dem ersten Zustand Z1 eine Funktionsan- 
zahl SBA1 und ein Pointer SBP1 zugeordnet. Der 
Pointer SBP1 welst auf die dem ersten Zustand Z1 
zugeordnete Gruppe im Steuerlistenrumpf SR, die 
ein Datentupel enthalt. In die Speicherplatze dieses 
Datentupels sind die Bezeichnung der vierten Ba- 
sisfunktion B4 und die Folgezustandsbezeichnung 
ZF des auf die erfolgreiche Abarbeitung der vierten 
Basisfunktion B4 folgenden zweiten Zustandes Z2 
eingetragen. Diese Eintragungen entsprechen den 
Eintragungen, die an entsprechender Stelle aus 
FIG 2 bzw. FIG 3 entnehmbar sind. 

Da zu alien Zustanden Z der Anwendung die 
Abarbeitung der sechsten Basisfunktion B6 und die 
Abarbeitung der die Anwendung beendenden 



schlieBenden Basisfunktion BC zulSssig ist, ist es 
vorteilhaft, diese Basisfunktionen nicht im Steuerli- 
stenrumpf SR einzutragen. Durch die EInrichtung 
der Ausnahmenliste SA im zweiten Speicherbe- 

5 reich S2 konnen die Bezeichnungen der bei jedem 
Zustand Z zulassigen Basisfunktionen B6, BO spei- 
cherplatzsparend in eine Steuerliste STL eingefiigt 
werden. Im Steuerlistenkopf SK ist in den Spei- 
cherplatz neben der Steuerlistenkopflange SKL 

JO eine Ausnahmenlistenblocknummer SAN eingetra- 
gen. Durch diese Nummer wird die Ausnahmenliste 
SA der Anwendung zugeordnet. Durch diese Art 
der Ausnahmenlistenzuordnung und gemeinsam 
mit der Speicherung der Ausnahmenliste SA im 

15 Gemeinschaftsdatenfeld CDF ist es auch moglich, 
eine Ausnahmenliste SA fur verschiedene Anwen- 
dungen zu verwenden. 

FIG 5 zeigt eine spezielle Ausfuhrung des Zu- 
standsspeicherbereiches ZS. Der Zustandsspeicher 

20 ZS enthalt Informatlonen zum Protokollablauf und 
zur Datenzugriffskontrolle. Zu den Informatlonen 
zum Protokollablauf gehoren die Blocknummer 
STB der Steuerliste STL, die Bezeichnung der zu- 
letzt erfolgreich abgearbeiteten Basisfunktion B, die 

25 im Basisfunktionsspeicherplatz BZ eingetragen ist 
und die Information uber den aktuellen Protokollzu- 
stand Z, die im Protokollzustandsspeicherplatz Zi 
abgelegt ist. Die Speicherplatze zur Datenzugriffs- 
kontrolle umfassen einen Platz APIN fur die Kenn- 

30 zeichnung einer erfolgreich durchgefuhrten PIN- 
Prufung innerhalb der Anwendung, zwei Speicher- 
platze zum Ablegen der Information, ob zwei ver- 
schiedene Authentizitatsprijfungen AUTH1, AUTH2 
erfolgreich durchgefuhrt wurden, einige Reserve- 

35 speicherplatze RES und einen Speicherplatz, in 
dem die Information eingetragen wird, ob eine glo- 
bale PIN-Prufung GPIN erfolgreich durchgefuhrt 
wurde. 

Im folgenden wird der Ablauf des erflndungs- 

40 gemafien Verfahrens unter Einbezlehung der oben 
beschriebenen Vorrichtung eriautert. 

Mit dem Einstecken einer Chipkarte K in das 
Terminal T wird mittels elektrischer Konfakte Oder 
gegebenenfalls auch kontaktlos eine elektrische 

45 Verbindung zwischen Terminal T und Chipkarte K 
hergestellt. Diese Verbindung wirkt sowohl hinsicht- 
lich der Stromversorgung als auch bezuglich der 
Ankopplung der Ein-/Ausgabeeinrichtungen I/O des 
Terminals T und der Chipkarte K. Durch das Ein- 

50 stecken der Chipkarte K wird der gesamte Arbeits- 
speicherbereich in einen bestimmten Zustand - 
z.B. alle Bit = 0 - zuruckgesetzt. 

Das Terminal T ist in diesem Beispiel einer 
bestimmten Anwendung - beispielsweise einem 

55 Geldautomaten einer Bank - zugeordnet. Die jewei- 
lige Art der Anwendung wird der Chipkarte K in der 
Weise mitgeteilt, daC das Terminal T ein spezifi- 
sches Applikationskommando an die Chipkarte K 
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ubertragt. Auf der Chipkarte K wird nun uberpruft, 
ob auf der Chipkarte K ein Anwendungsdatenfeld 
ADF fur diese spezielle Anwendung vorhanden ist. 
1st dieses Anwendungsdatenfeld ADF vorhanden, 
findet eine teilweise Initialisierung des Zustands- 
speicherbereichs ZS statt. Diese Initialisierung hat 
zur Folge, dafi die Blocknummer STB der dieser 
Anwendung zugeordneten, im Anwendungsdaten- 
feld ADF Oder im Gemeinschaftsdatenfeld CDF ver- 
merkten Steuerliste STL im Zustandsspeicherbe- 
reich ZS eingetragen wird und der Protokollzu- 
standsspeicherplatzZi, in dem der aktuelle Anwen- 
dungszustand Z eingetragen warden muS, auf den 
ersten Zustand Z1 gesetzt wird. Desweiteren wer- 
den samtliche Bit der anwendungsbezogenen Spei- 
cherplatze zuruckgesetzt (beispielsweise 0). Die Bit 
der Speicherplatze fur globale Daten bleiben un- 
verandert. 

Nach der Meldung an das Terminal T, da/3 der 
Initialisierungsvorgang abgeschlossen ist, erfolgt 
die Ubertragung eines Funktionskommandos vom 
Terminal T zur Chipkarte K, wobei dieses Funk- 
tionskommando, z.B. die vierte Basisfunktion B4 
bezeichnet und die notwendigen Eingangsdaten fiir 
diese Basisfunktion B4 enthalt. Die Chipkarte K 
befindet sich auf Grund der Eintragung im Zu- 
standsspeicherbereich ZS im ersten Zustand Z1. 
Es wird nun im Steuerlistenkopf SK, der Steuerliste 
STL mit der im Zustandsspeicherbereich ZS einge- 
tragenen Blocknummer STB, dasjenige Datenpaar 
gelesen, das dem ersten Zustand Z1 zugeordnet 
ist. Im Speicherplatz SBA1 ist eingetragen, dafl in 
diesem ersten Zustand Z1 nur eine Basisfunktion B 
zulassig ist. Der neben diesem Speicherplatz ein- 
getragene Pointer SBP1 zeigt auf die dem ersten 
Zustand Z1 zugeordnete Gruppe von Datentupeln. 
Dieses Tupel enthalt die Bezeichnung der vierten 
Basisfunktion B4 und die Bezeichnung des auf die 
vierte Basisfunktion B4 folgenden Zustandes Z2. 
Der Vergleich der vom Terminal T ubertragenen 
Baslsfunktionsbezeichnung B4 und der Basisfunk- 
tionsbezeichnung B4, die im Datentupel des Steu- 
erlistenrumpfes SR eingetragen ist, liefert ein posi- 
tives Ergebnis. Auf Grund dieses positiven Ver- 
gleichsergebnisses wird die vierte Basisfunktion B4 
unter Verwendung der mit dem Funktionskomman- 
do ubertragenen Eingangsparameter abgearbeitet. 
Unter der Annahme, daB die vierte Basisfunktion 
B4, die fur die PIN-Prufung zustandige Funktion ist, 
und dafl die PIN-Nummer vor dem Funktionsaufruf 
am Terminal T richtig eingegeben wurde, liefert die 
vierte Basisfunktion 84 das Ergebnis, daB die PIN- 
Prufung erfolgreiche vorgenommen wurde. Am Ba- 
sisfunktionsspeicherplatz BZ fur die zuletzt erfolg- 
reich ausgefuhrte Basisfunktion B des Zustands- 
speicherbereiches ZS wird die Bezeichnung der 
vierten Basisfunktion B4 eingetragen. Zusatzlich 
wird an einem der Speicherplatze APIN oder QPIN, 



beispielsweise durch Setzen eines Bit, die erfolg- 
reich ausgefuhrte PIN-Prufung vermerkt Welches 
Bit der beiden Speicherplatze gesetzt wird hangt 
davon ab, ob mit dem gleichen Terminal T mehre- 

5 re Anwendungen realisierbar sind und davon, ob 
fur alle Anwendungen, fur die die Chipkarte K 
zugelassen ist, die gleiche PIN-Nummer erforder- 
lich ist. Da im beschriebenen Fall das Terminal T 
ausschliefllich dem Geldautomaten zugeordnet ist 

70 und damit nur eine Anwendung mit diesem Termi- 
nal T durchgefuhrt werden kann, wird der Speicher- 
platz APIN im Zustandsspeicherbereich ZS auf 1 
gesetzt. 

Der Zustand Z der Anwendung wird dadurch in 

15 den zweiten Zustand Z2 ubergefuhrt, dafl der im 
Datentupel im Steuerllstenrumpf SR neben der Ba- 
sisfunktionsbezeichnung 84 in Form einer definier- 
ten Bitfolge eingetragene Zustand Z2 in den Proto- 
kollzustandsspeicherplatz Zl des Zustandsspeicher- 

20 bereichs ZS eingetragen wird. 

Nachdem ein Antwortsignal, das dem Terminal 
T die erfolgreiche Abarbeitung der vierten Basis- 
funktion B4 signalisiert, von der Chipkarte K zum 
Terminal T ubertragen wurde, ist der erste Vorgang 

25 abgeschlossen. Die Chipkarte K ist wieder bereit, 
eine Information hier in Form eines Funktionskom- 
mandos, zu empfangen. 

Das Terminal T ubertragt nun ein zweites 
Funktionskommando zur Chipkarte K. Dieses Funk- 

30 tionskommando bezeichnet die dritte Basisfunktion 
B3 und beinhaltet die Eingangsparameter dieser 
Basisfunktion B3. Im Steuerlistenkopf SK wird das 
jeweilige Datenpaar gelesen, das dem zweiten Zu- 
stand Z2 zugeordnet ist. Im Speicherplatz SBA2, 

35 der die Anzahl der zulassigen Basisfunktionen B 
angibt steht die Zahl zwei. Der zugehorige Pointer 
SBP2 zeigt auf den ersten Speicherplatz, der dem 
zweiten Zustand Z2 zugeordneten Gruppe von Da- 
tentupeln im Steuerllstenrumpf SR. 

40 Die in dieser Gruppe eingetragenen Baslsfunk- 
tionsbezeichnungen B2, B3 werden mit der Basls- 
funktionsbezeichnung 83, die mit dem Funktions- 
kommando zur Chipkarte K ubertragen wurde, ver- 
glichen. Der Vergleich fallt positiv aus. Nach erfolg- 

45 reicher Abarbeitung der dritten Basisfunktion B3 
wird die Anwendung der Chipkarte K in den Zu- 
stand Z4 versetzt. Unter der Annahme, dafl im 
Zuge der Abarbeitung der Basisfunktion B3 auf im 
Anwendungsdatenfeld ADF abgelegte Daten zuge- 

50 griffen werden mufi und dieser Zugriff nur zulassig 
Ist, wenn vorher eine PIN-Prufung erfolgrelch 
durchgefuhrt wurde, werden vor Beginn der Abar- 
beitung der dritten Basisfunktion B3 die PIN-Spei- 
cherplatze APIN, GPIN im Zustandsspeicherbe- 

55 reich ZS gelesen. Nur wenn eines der beiden Bit 
auf 1 gesetzt ist, wird die dritte Basisfunktion B3 
abgearbeitet. Ist diese Abarbeitung beendet, wird in 
den Basisfunktionsspeicherplatz BZ des Zustands- 
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speicherbereichs ZS die Bezeichnung der dritten 
Basisfunktion B3 eingetragen und im Protokollzu- 
standsspeicherplatz Zi der vierte Zustand Z4 ein- 
getragen. Zusatzlich wird ein Antwortsignal zum 
Terminal T ubertragen. 

Mit dam nachsten Funktionskommando wird 
die sechste Basisfunktion B6 angefordert und die 
notwendigen Eingangsparameter zur Chipkarte K 
ubertragen. Im Steuerlistenkopf SK wird das dem 
vierten Zustand Z4 zugeordnete Datenpaar gele- 
sen. Im Speicherplatz fur die Funktionsanzahl 
SBA4 ist eine 1 eingetragen. Der Pointer SBP4 
zeigt im Steuerlistenrumpf SR auf das dem vierten 
Zustand Z4 zugeordnete Datentupel. In diesem Da- 
tentupel stelit die Basisfunktionsbezeichnung Bl 
der ersten Basisfunktion B und der entsprechende 
funfte Folgezustand Z5. Ein Vergleich der Basis- 
funktionsbezeichnung B1 im Steuerlistenrumpf SR 
und der zur Chipkarte K ubertragenen Basisfunk- 
tionsbezeichnung B6 liefert ein negatives Ergebnis. 
Daraufhin wird im Steuerlistenkopf SK die Ausnah- 
menlistenblocknummer SAN gelesen. Die in der 
Ausnahmenliste SA eingetragenen Basisfunktions- 
bezeichnungen B6, BC werden nun mit der zur 
Chipkarte K hin iibertragenen Basisfunktionsbe- 
zeichnung 86 verglichen. Auf Grund des positiven 
Vergleichsergebnisses und unter der Vorausset- 
zung, dae eventuelle Datenzugriffsbedingungen er- 
fullt sind, wird die sechste Basisfunktion B6 abge- 
arbeitet. Trotz erfolgrelcher Abarbeitung wird die 
Basisfunktionsbezeichnung B6 der sechsten Basis- 
funktion B nicht im Basisfunktionsspeicherplatz BZ 
des Zustandsspeicherbereichs ZS eingetragen. Die 
Eintragung im Protokollzustandsspelcherplatz ZI 
bleibt ebenfalls unverandert. Auch jetzt erfolgt die 
Ubertragung eines Antwortsignals zum Terminal T. 

Fur den Fall, daB sich die Anwendung nach 
Abarbeitung der dritten Basisfunktion B3 im vierten 
Zustand Z4 befindet und vom Terminal T nochmals 
die dritte Basisfunktion B3 aufgerufen wird, liefern 
samtliche Vergleiche im Steuerlistenrumpf SR und 
in der Ausnahmenliste SA ein negatives Ergebnis. 
In diesem Fall findet ein weiterer Vergleich statt. 
Die zur Chipkarte K ubertragene Basisfunktionsbe- 
zeichnung B3 der dritten Basisfunktion B wird mit 
der im Zustandsspeicherbereich ZS Im Basisfunk- 
tionsspeicherplatz BZ eingetragenen Basisfunk- 
tionsbezeichnung B3 verglichen. Dieser Vergleich 
liefert ein positives Ergebnis, wodurch die Abarbei- 
tung der dritten Basisfunktion B3 zugelassen wird. 
Damit ist eine Wiederholbarkeit von Basisfunktio- 
nen B gewahrleistet. 

In entsprechender Welse werden die nachfol- 
gend aufgerufenen Basisfunktionen B der Anwen- 
dungen behandelt, bis vom Terminal T die schlie- 
Bende Basisfunktion BC aufgerufen wird, die die 
Anwendung beendet. Die schlieBende Basisfunktion 
BC kann nach Abarbeitung jeder beliebigen Basis- 



funktion B aufgerufen werden, da die Basisfunk- 
tionsbezeichnung BC in der Ausnahmenliste SA 
enthalten Ist. Fur den Fall, dafl keine Ausnahmenli- 
ste SA existiert, muB der Prozessor P fur den Fall, 
5 daB samtliche vorgenommenen Vergleiche negati- 
ves Ergebnis geliefert haben, uberprufen, ob die 
vom Terminal T aufgerufene Basisfunktion B die 
schlieBende Basisfunktion BC ist. Auf diese Weise 
kann sichergestellt werden, daB auch bei nIcht vor- 

70 handener Ausnahmenliste SA die schlieBende Ba- 
sisfunktion BC jederzeit aufrufbar ist. 

Fuhrt keine der Vergleichsmoglichkeiten zu ei- 
nem positiven Ergebnis, dann wird dies dem Ter- 
minal T In Form einer selektiven Fehlermeldung 

15 mitgeteilt. Aus dieser selektiven Fehlermeldung 
geht belspielsweise hervor, daB der Grund fur die 
Zuriickweisung die Nichtzulasslgkeit der Abarbei- 
tung der Basisfunktion B im vorliegenden Anwen- 
dungszustand Z ist. Andere selektive Fehlermel- 

20 dungen konnen belspielsweise anzelgen, dafi die 
PIN-Nummer falsch eingegeben wurde oder eine 
PIN-Prufung noch nicht stattgefunden hat. 

In den meisten Fallen wird es genugen, mit 
einem Terminal T nur eine Anwendung auszufuh- 

25 ren. In diesen Fallen genugt es, wenn erst nach 
Beendigung oder Abbruch einer vorher aktivierten 
Anwendung eine weitere Anwendung aufgerufen 
werden kann. LaBt man aber an einem Terminal T 
mehrere Anwendungen zu, dann kann es sinnvoll 

30 sein, diese Anwendungen auch ineinander ver- 
schachtelt aufzurufen. In diesen Fallen Ist es dann 
moglich, nach der Ubermittlung eines Antwortsi- 
gnals von der Chipkarte K zum Terminal T, ein 
Appllkationskommando noch vor Beendigung einer 

35 Anwendung zur Chipkarte K zu ubertragen. Wenn 
ein Appllkationskommando vor Beendigung einer 
Anwendung die Chipkarte K erreicht, wird der Inhalt 
des Zustandsspeicherbereichs ZS und eine Kenn- 
zeichnung, die die gegenwartig laufende Anwen- 

40 dung eindeutig benennt, in einem Hilfsspeicher ab- 
gelegt. Dieser Hilfsspeicher kann belspielsweise im 
Gemeinschaftsdatenfeld CDF eingerichtet sein. 
Nach SIcherung dieser Daten im Hilfsspeicher wird 
die teilweise Initiallslerung des Zustandsspeicher- 

45 bereichs ZS vorgenommen. Die mit dem Appllka- 
tionskommando bezelchnete eingeschobene An- 
wendung kann In oben beschriebener Weise bear- 
beltet werden. Nach Beendigung der eingeschobe- 
nen Anwendung werden die im Hilfsspeicher abge- 

50 legten Daten der unterbrochenen Anwendung wie- 
der an Ihre ursprungllchen Spelcherstellen zuruck- 
transferiert. Der Ablaut der vorher unterbrochenen 
Anwendung kann fortgesetzt werden. 

55 Patentanspriiche 

1. Verfahren zur Verhinderung unzulassiger Ab- 
weichungen vom Ablaufprotokoll einer Anwen- 
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dung bei einem Datenaustauschsystem, das 
mindestens aus einem Terminal (T) und min- 
destens einem tragbaren, mindestens einen 
Prozessor (P) und mindestens einen Speicher 
(S) enthaltenden, wenlgstens fur sine Anwen- 
dung nutzbaren Datentrager (K) bestehit, mit 
folgenden Merkmalen: 

a) zum Datenaustauscli wird der Datentra- 
ger (K) mit dem Terminal (T) verbunden, 
wodurch ein im Speicher (S) des Datentra- 
gers vorhandener Zustandsspeicherbereich 
(ZS) in einen Grundzustand versetzt wird, 

b) das Terminal (T) iibermittelt an den Da- 
tentrager (K) ein Applikationskommando, 
das eine dem Terminal (T) zugeordnete An- 
wendung bezeichnet, 

c) das Terminal (T) tibermittelt an den Da- 
tentrager (K) ein Funktionskommando, das 
mindestens eine Basisfunktionsbezeichnung 
(Bk) einer Basisfunktion (B) enthalt, die als 
nactiste ausgefuhrt werden soil, 

d) diese Basisfunktionsbezeictinung (Bk) 
wird im Datentrager (K) mit im Speicher (S) 
des Datentragers (K) bezuglich der vorher 
bezeichneten Anwendung gespeicherten 
Basisfunktionsbezelchnungen (Bn) vergli- 
chen, die im vorliegenden, durch eine Ein- 
tragung Im Zustandsspeicherbereich (ZS) fi- 
xierten, Protokollzustand zulSssig sind, 

e) nur bei positivem Vergleichsergebnis 
wird die der zum Datentrager (K) ubermittel- 
ten Basisfunktionsbezeichnung (Bk) zuge- 
ordnete Basisfunktion (B) im Datentrager (K) 
ausgefuhrt, 

f) nach erfolgreicher Basisfunktionsausfiih- 
rung 

f1) werden die im Zustandsspeicherbe- 
reich (ZS) abgelegten Daten dem neuen 
Protokollzustand angepaflt, 
f2) wird vom Datentrager (K) zum Termi- 
nal (T) ein Antwortsignal ubertragen, 

g) bis der Ablauf der Anwendung beendet 
ist Oder abgebrochen wird, wird vom Termi- 
nal (T), nach der Obertragung eines Ant- 
wortsignals vom Datentrager (K) zum Termi- 
nal (T), durch Ubermittelung eines Funk- 
tionskommandos an den Datentrager (K) die 
nachste auszufuhrende Basisfunktion (B) 
aufgerufen. 

Verfahren nach Anspruch 1, dadurch gekenn- 
zelchnet, daB durch die Ubermittlung des 
Applikationskommandos vom Terminal (T) zum 
Datentrager (K) eine teilweise Inltialisierung 
des Zustandsspeicherbereichs (ZS) ausgelost 
wird. 



gehenden Anspriiche, dadurch gekennzelch- 
net, dafl die Obermittlung des Applikations- 
kommandos vom Terminal (T) zum Datentra- 
ger (K) die Eintragung einer Blocknummer 
(STB) im Zustandsspeicherbereich (ZS) be- 
wirkt und dafi diese Blocknummer (STB) den 
Platz im Speicher (S) des Datentragers (K) 
bezeichnet, an dem die be! der mit dem Appli- 
kationskommando bezeichneten Anwendung 
im jeweils vorliegenden Protokollzustand (Z) 
zulassigen Basisfunktionsbezelchnungen (Bn) 
It sind. 



3. Verfahren nach mindestens e 



n der vorher- 



Verfahren nach mindestens einem der vorher- 
gehenden AnsprUche, dadurch gekennzeich- 
net, daS die Obertragung einer Information 
vom Terminal (T) zum Datentrager (K) nur 
dann erfolgen kann, wenn vorher ein Antwortsi- 
gnal vom Datentrager (K) zum Terminal (T) 
ubermittelt wurde. 

Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, dafi durch Obermittlung eines Applika- 
tionskommandos vom Terminal (T) zum Daten- 
trager (K) erst nach Beendigung oder Abbruch 
einer vorher aktlvierten Anwendung eine weite- 
re Anwendung aufgerufen werden kann. 



6. Verfahren nach mindestens einem der Ansprii- 
che 1 bis 4, dadurch gekennzeichnet, dal3 
bei Ubermittlung eines Applikationskomman- 
dos vor Beendigung einer Anwendung minde- 
stens der Inhalt des Zustandsspeicherbereichs 
(ZS) in einem Hilfsspelcher abgelegt wird, da/S 
danach die teilweise Inltialisierung des Zu- 
standsspeicherbereichs (ZS) erfolgt und da/3 
nach erfolgter Inltialisierung die mit dem Appli- 
kationskommando bezeichnete eingeschobene 
Anwendung bearbeitet wird. 

7. Verfahren nach Anspruch 6, 

dadurch gekennzeichnet, dafi nach Beendi- 
gung der eingeschobenen Anwendung die im 
Hilfsspeicher abgelegten, der unterbrochenen 
Anwendung zugeordneten Daten wieder an 
ihre ursprGnglichen Speicherstellen zuruck- 
transferiert werden und daS der Ablauf der 
unterbrochenen Anwendung fortgesetzt wird. 

8. Verfahren nach einem der vorhergehenden An- 
sprUche, dadurch gekennzeichnet, dafi zu- 
satzlich zur Basisfunktionsbezeichnung (Bk) im 
Funktionskommando enthaltene Basisfunk- 
tionseingangsparameter an den Datentrager 
(K) iibermittelt werden. 

9. Verfahren nach mindestens einem der Ansprii- 
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che 3 bis 8, dadurch gekennzeichnet, dali 
nach Erhalt eines Funktionskommandos uber- 
priift wird, ob eine Blocknummer (STB) im 
Zustandsspeicherbereich (ZS) eingetragen ist. 

10. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, da/3 ein 
erster Speicherberelch (SI) des Spelchers (S) 
daraufhin uberpruft wird, ob eine Eintragung 
zum vorliegenden Protokollzustand (Z) der mit 
dem Appllkatlonskommando bezeichneten An- 
wendung in diesem ersten Speiclierbereich 
(SI) vorhanden ist. 

11. Verfahren nach Anspruch 10, dadurch ge- 
kennzeichnet, dafl im Falle einer vorhande- 
nen Eintragung zum vorliegenden Protokollzu- 
stand (Z) die bezuglich dieses Protokollzustan- 
des (Z) im ersten Speicherberelch (SI) gespei- 
cherten Basisfunktionsbezeichnungen (Bn) mit 
der, mit dem Funktionskommando zum Daten- 
trager (K) ubermittelten Funktionsbezeichnung 
(Bk) verglichen werden. 

12. Verfahren nach mindestens einem der Anspru- 
che 10 Oder 11, dadurch gekennzeichnet, 
dafl im Falle einer fehlenden Eintragung zum 
vorliegenden Protokollzustand (Z) bzw. einer 
NichtUberelnstimmung der ubermittelten und 
der gespeicherten Basisfunktionsbezeichnun- 
gen (Bk.Bn) im ersten Speicherberelch (SI) in 
einem zweiten Speicherberelch (S2) des Spel- 
chers (S) uberpruft wird, ob die zum Datentra- 
ger (K) ubermittelte Basisfunktionsbezeichnung 
(Bk) in diesem zweiten Speicherberelch (S2) 
bezuglich der mit dem Applikationskommando 
bezeichneten Anwendung, unabhangig vom 
vorliegenden Protokollzustand (Z) eingetragen 
ist. 

13. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche 10 bis 12, dadurch ge- 
kennzeichnet, daC im Falle einer fehlenden 
Eintragung zum vorliegenden Protokollzustand 
Z bzw. einer NichtUberelnstimmung der Uber- 
mittelten und der gespeicherten Basisfunk- 
tionsbezeichnung (Bk, Bn) sowohl im ersten 
Speicherberelch (SI) als auch im zweiten 
Speicherbereich (S2) uberpruft wird, ob die 
ubermittelte Basisfunktionsbezeichnung(Bk) die 
Basisfunktionsbezeichnung (BC) fUr die schlie- 
flende Basisfunktion (B) ist. 

14. Verfahren nach mindestens einem der vorher- 
gehenden AnsprUche, dadurch gekennzeich- 
net, daC nach erfolgreicher Ausfuhrung einer 
Basisfunktion (B) die Bezeichnung dieser Ba- 
sisfunktion (B) in einem Basisfunktionsspei- 



cherplatz (BZ) des Zustandsspeicherbereichs 
(ZS) eingetragen wird. 

15. Verfahren nach mindestens einem der Anspru- 
5 che 10 bis 14, dadurch gekennzeichnet, dafl 

bei NichtUberelnstimmung der zum Datentra- 
ger (K) ubermittelten Basisfunktionsbezeich- 
nung (Bk) mit den entsprechenden Eintragun- 
gen im Speicher (S) diese ubermittelte Basis- 
10 funktionsbezeichnung (Bk) mit der im Basis- 

funktionsspeicherplatz (BZ) des Zustandsspei- 
cherbereichs (ZS) vermerkten Bezeichnung 
der zuletzt erfolgreich ausgefuhrten Basisfunk- 
tion (B) verglichen wird. 

15 

16. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, da/3 zu einer Basisfunktionsausfuhrung 
eventuell erforderliche, im Zustandsspeicher- 

20 bereich (ZS) abgelegte Zugriffsrechte auf Da- 

ten im Datentrager (K) uberpruft werden. 

17. Verfahren nach mindestens einem der AnsprU- 
che 10 bis 16, dadurch gekennzeichnet, da0 

25 eine im ersten Speicherbereich (SI) in Verbin- 

dung mit einer gespeicherten Basisfunktions- 
bezeichnung (Bn) abgelegte Folgezustandsbe- 
zeichnung (ZF), nach erfolgreicher Ausfuhrung 
dieser der gespeicherten Basisfunktionsbe- 

30 zeichnung (Bn) zugeordneten Basisfunktion 

(B), im Protokollzustandsspeicherplatz (Zi) des 
Zustandsspeicherbereichs (ZS) eingetragen 
wird. 

35 18. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, daB nach erfolgreicher Basisfunktionsaus- 
fuhrung zur Anpassung an den neuen Proto- 
kollzustand (Z) Informationen zum Protokollab- 

40 lauf und/oder zur Datenzugriffskontrolle im Zu- 

standsspeicherbereich (ZS) eingetragen wer- 
den. 

19. Verfahren nach Anspruch 18, dadurch ge- 
45 kennzeichnet, da/3 die Informationen zur Da- 

tenzugriffskontrolle getrennt nach anwendungs- 
bezogenen und globalen Daten im Zustands- 
speicherbereich (ZS) eingetragen werden. 

50 20. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, dal3 bei negativem Vergleichsergebnis 
eine selektive Fehlermeldung vom Datentrager 
(K) zum Terminal (T) ubermittelt wird. 

55 

21. Vorrichtung zur Durchfuhrung des Verfahrens 
nach mindestens einem der Anspruche 1 bis 
20, bei der der Speicher (S) In einen gemein- 
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schaftliche und anwendungsbezogene Daten 
enthaltenden Datenspeicher (EEPROM), einen 
auch eine Ein-/Ausgangsschnittstelle (I/O) be- 
dienenden Arbeitsspeicher (RAM) und einen 
sin Betriebssystem (BTS) und naehrere Basis- 
funktionen (B) enthaltenden Maskenspeicher 
(ROM) eingeteilt ist, dadurch gekennzeich- 
net, da6 der Datenspeicher (EEPROM) fur 
jede mogliche Anwendung eine die Zulassigen 
Protokollablaufe enthaltende Steuerliste (STL) 
enthalt und daC im Arbeitsspeicher (RAM) der 
die jeweiligen ProtokollzustSnde (Z) aufneh- 
mende Zustandsspeicher (ZS) enthalten ist. 

22. Vorrichtung nach Anspruch 21, dadurch ge- 
kennzeichnet, daS die Steuerliste (STL) in 
einen Steuerlistenkopf (SK) und einen Steuerli- 
stenrunnpf (SR) aufgeteilt ist. 

23. Vorrichtung nach Anspruch 22, dadurch ge- 
kennzeichnet, dafl im Steuerlistenkopf (SK) 
linear nacheinander die Steuerllstenkopflange 
(SKL) und fur jeden bei der Anwendung mogli- 
chen Zustand (Z), beginnend mil dem ersten 
Zustand (Z1) ein Datenpaar gespeichert ist, 
das aus einer die beim jeweiligen Zustand (Z) 
ausfOhrbare Basisfunktionsanzahl (SBA) ange- 
benden Information und aus einem auf eine 
Speicherstelle im Steuerlistenrumpf (SR) wei- 
senden Pointer (SBP) besteht. 

24. Vorrichtung nach mindestens einem der An- 
spruche 22 oder 23, dadurch gekennzeich- 
net, dafl der Steuerlistenrumpf (SR) wenig- 
stens aus einer, aus jeweils mindestens einem 
Datentupel bestehenden, jeweils einem Zu- 
stand (Z) Zugeordneten Gruppe besteht und 
daB die Datentupel jeweils aus einer gespei- 
cherten Basisfunktionsbezeichnung (Bn) und 
einer Folgezustandsbezeichnung (ZF) beste- 
hen. 



(SAN) eingetragen ist, die direkt oder indirekt 
den Speicherplatz angibt, an dem die Ausnah- 
menliste (SA) gespeichert ist. 

5 28. Vorrichtung nach mindestens einem der An- 
spriiche 26 oder 27, dadurch gekennzeich- 
net, daC in der Ausnahmenliste (SA) nachein- 
ander die Basisfunktionsbezelchnungen (Bn) 
der Basisfunktionen (B) angegeben sind, die 

10 unabhangig vom vorliegenden Protokollzustand 

jederzeit ausfuhrbar sind. 

29. Vorrichtung nach mindestens einem der vor- 
hergehenden AnsprUche 21 bis 28, dadurch 
IS gekennzeichnet, daS im Zustandsspeicherbe- 

reich (ZS) Speicherplatze fiir bestimmte Infor- 
mationen zum Protokollablauf und/oder zur Da- 
tenzugriffskontrolle vorhanden sind. 

20 30. Vorrichtung nach Anspruch 29, dadurch ge- 
kennzeichnet, daC im Zustandsspeicherbe- 
reich (ZS) zum Protokollablauf je ein Speicher- 
platz fur die Blocknummer (STB) der der vor- 
liegenden Anwendung zugeordneten Steuerli- 

25 ste (STL), ein Basisfunktionsspeicherplatz (BZ) 

fur die Basisfunktionsbezeichnung (Bk) der zu- 
letzt erfolgreich ausgefuhrten Basisfunktlon (B) 
und ein Protokollzustandsspeicherplatz (Zl) fur 
den Protokollzustand (Z) nach der zuletzt er- 

30 folgrelch ausgefuhrten Basisfunktion (B) vor- 

handen Ist. 

31. Vorrichtung nach mindestens einem der vor- 
hergehenden AnsprUche 29 oder 30, dadurch 

35 gekennzeichnet, daC die im Zustandsspei- 
cherbereich (ZS) vorhandenen Speicherplatze 
zur Datenzugriffskontrolle in globale und in an- 
wendungsbezogene Speicherplatze aufgeteilt 
sind. 

40 

32. Vorrichtung nach Anspruch 31, dadurch ge- 
kennzeichnet, da/3 je ein Speicherplatz fUr 
das anwendungsbezogene Speichern einer 
durchgefuhrten PIN-Prufung (PIN) fur einige 
sich voneinander unterscheidende durchge- 
fUhrte Authentizitatsprufungen (AUTH1,AUTH2) 
und ein globaler Speicherplatz fur das Spei- 
chern einer durchgefuhrten PIN-Prufung 
(GPIN) vorhanden sind. 



25. Vorrichtung nach mindestens einem der An- 
sprUche 23 Oder 24, dadurch gekennzeich- 
net, dafi der einem bestimmten Zustand (Z) 45 
zugeordnete Pointer (SBP) jeweils auf den Be- 
glnn einer dem gleichen Zustand (Z) Zugeord- 
neten Gruppe im Steuerlistenrumpf (SR) zeigt. 

26. Vorrichtung nach mindestens einem der An- 50 
sprUche 21 bis 25, dadurch gekennzeichnet, 

daj3 einer Steuerliste (STL) eine Ausnahmenli- 
ste (SA) zugeordnet ist. 

27. Vorrichtung nach Anspruch 26, dadurch ge- 65 
kennzeichnet, dafl im Steuerlistenkopf (SK) 
unmittelbar nach der Steuerllstenkopflange 
(SKL) eine Ausnahmenlistenblocknummer 
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